微軟宣布了一項(xiàng)新的漏洞獎(jiǎng)勵(lì)計(jì)劃。對(duì)于信息安全研究人員發(fā)現(xiàn)的Windows 8.1或IE 11的漏洞，每個(gè)漏洞微軟有可能給予最高15萬(wàn)美元的獎(jiǎng)勵(lì)。

去年，微軟曾在Bluehat大賽中推出了漏洞獎(jiǎng)勵(lì)措施。不過，Bluehat大賽并非關(guān)注尋找漏洞，而是尋找最有價(jià)值、最具創(chuàng)新性的解決方式。去年夏季，在拉斯維加斯的Black Hat信息安全大會(huì)上，微軟發(fā)放了20萬(wàn)美元的高額獎(jiǎng)金。

在最新的獎(jiǎng)勵(lì)計(jì)劃中，微軟的獎(jiǎng)勵(lì)分為3種。如果研究人員找到針對(duì)Windows 8.1保護(hù)機(jī)制的新漏洞，那么可以獲得最高10萬(wàn)美元的“減輕繞開獎(jiǎng)金”。而如果研究人員能針對(duì)已確認(rèn)的攻擊技術(shù)提供有效的防御措施，那么還可以獲得5萬(wàn)美元額外的“Bluehat防御獎(jiǎng)金”。因此針對(duì)單個(gè)漏洞的獎(jiǎng)金總額最高達(dá)到15萬(wàn)美元。

此外，微軟還提供了“IE11瀏覽器預(yù)覽版漏洞獎(jiǎng)金”。對(duì)于研究人員發(fā)現(xiàn)的Windows 8.1中IE11的關(guān)鍵漏洞，微軟將支付每個(gè)漏洞1.1萬(wàn)美元的獎(jiǎng)金。

微軟新的漏洞獎(jiǎng)勵(lì)計(jì)劃將于6月26日開始。屆時(shí)微軟也將發(fā)布帶IE11的Windows 8.1預(yù)覽版。“減輕繞開獎(jiǎng)金”和“Bluehat防御獎(jiǎng)金”將長(zhǎng)期提供，而“IE11預(yù)覽版漏洞獎(jiǎng)金”將只持續(xù)30天。

微軟高級(jí)安全策略師凱蒂·莫蘇里斯(Katie Moussoris)在博客中宣布了這一漏洞獎(jiǎng)勵(lì)計(jì)劃的啟動(dòng)。他表示，微軟此前已進(jìn)行了大量工作，解決相關(guān)軟件中的漏洞。目前微軟將與信息安全研究人員甚至黑客合作，在漏洞帶來惡意攻擊事件之前找到并解決這些漏洞。

Veracode聯(lián)合創(chuàng)始人及首席技術(shù)官克里斯·維索佩爾(Chris Vysopal)表示，漏洞獎(jiǎng)勵(lì)計(jì)劃的最大好處在于鼓勵(lì)信息安全研究社區(qū)與微軟合作，而不是對(duì)抗。此前，許多信息安全研究人員認(rèn)為，他們完成了本應(yīng)由軟件公司完成了大量勞動(dòng)，但卻沒有得到任何報(bào)酬。而類似微軟此次開展的漏洞獎(jiǎng)勵(lì)計(jì)劃將帶來必要的激勵(lì)，促使信息安全研究人員在找到漏洞后首先上報(bào)，并在漏洞解決前對(duì)其保密。

業(yè)內(nèi)人士認(rèn)為，這一漏洞獎(jiǎng)勵(lì)計(jì)劃將有助于改進(jìn)微軟的所有產(chǎn)品。近年來，微軟采取了大量工作，以加強(qiáng)漏洞減輕技術(shù)，不過仍有很大的提升空間。